Bulan ini, para peneliti keamanan memperingatkan bahwa serangkaian kelemahan keamanan dalam robot penyedot debu dan pemotong rumput yang dibuat oleh Ecovacs dapat memungkinkan peretas untuk mengintai pemilik mereka melalui mikrofon dan kamera perangkat.
Saat itu, Ecovacs mengatakan kepada TechCrunch bahwa kelemahan yang ditemukan oleh para peneliti "sangat jarang terjadi dalam lingkungan penggunaan biasa dan membutuhkan alat peretasan khusus serta akses fisik ke perangkat."
"Oleh karena itu, pengguna dapat yakin bahwa mereka tidak perlu terlalu khawatir tentang hal ini," demikian pernyataan yang dikirim melalui email, menolak untuk berkomitmen memperbaiki kerentanan tersebut.
Dua minggu kemudian, Ecovacs berubah pikiran, memberitahu para peneliti dan TechCrunch bahwa, sebenarnya, perusahaan akan memperbaiki bug tersebut.
"Kami telah melakukan verifikasi mendalam dan pemeriksaan diri. Kami telah mengidentifikasi beberapa area di mana terdapat ruang untuk perbaikan," kata Martin Ma, direktur komite keamanan Ecovacs, kepada TechCrunch melalui email. "Sebagai tanggapan, kami telah menginisiasi perbaikan yang ditargetkan dan mengatasi masalah yang disorot."
Pada 10 Agustus, para peneliti keamanan Dennis Giese dan Braelynn memberikan presentasi tentang riset mereka terhadap robot rumah Ecovacs di konferensi hacking tahunan Def Con di Las Vegas. Mereka mengatakan bahwa mereka menganalisis 11 perangkat Ecovacs dan menemukan beberapa kelemahan.
Kerentanan paling berdampak, kata mereka, memungkinkan siapa pun yang menggunakan ponsel untuk terhubung ke robot Ecovacs melalui Bluetooth dari jarak sejauh 450 kaki - sekitar 130 meter - dan mengambil alih kontrol perangkat tersebut. Kelemahan tersebut kemudian akan memungkinkan peretas untuk memantau robot dari mana saja karena robot terhubung ke internet melalui Wi-Fi.
Kelemahan lain termasuk bug yang akan memungkinkan seseorang mengakses penyedot debu robot setelah menjualnya dan menghapus akun mereka, artinya mereka kemudian dapat mengintai pemilik baru perangkat tersebut, menurut para peneliti.
Dalam email kepada Giese pada 16 Agustus dan dibagikan dengan TechCrunch, Ma dari Ecovacs menyebut bahwa presentasi para peneliti di Def Con "telah menarik perhatian saya." Itu sebabnya, lanjut email tersebut, Ma meminta tim keamanan Ecovacs untuk mengambil korespondensi yang perusahaan miliki dengan para peneliti. Ma mengatakan bahwa perusahaan "dengan tidak sengaja melewati" email para peneliti dari Desember 2023.
"Kami telah meninjau secara cermat poin-poin yang Anda kemukakan dalam email sebelumnya dan Demo di Def Con 2024, dan melakukan verifikasi mendalam dan pemeriksaan diri," ujar Ma, menambahkan bahwa perusahaan akan memperbaiki masalah dalam dua model Ecovacs - Goat G1 dan X1 - serta dalam aplikasi Ecovacs.
"Analisis Anda sangat dihargai dan diapresiasi oleh tim teknis kami. Wawasan Anda sangat berharga dalam menjaga keamanan dan integritas produk kami, dan mereka memberikan kontribusi yang signifikan untuk industri elektronik konsumen secara keseluruhan," tulis Ma. "Pada akhirnya, pengguna umumlah yang akan mendapatkan manfaat terbesar dari dedikasi Anda."
